OpenWRT apuja palomuurin suhteen

Liittynyt
07.09.2021
Viestejä
107
Olen tutkinut netistä ohjeita mutta en saa toimimaan.
Reitittimen portit 1-3 on LANia ja IP-osoitteet on 192.168.1.x . Portti 4 pitäisi saada Vlan:iksi ja siihen DHCP käyttöön. Sen perään tulee ei hallittava kytkin.
Käyttöliittymänä on Luci. Voisiko joku ohjeistaa asian suhteen...
 
Hupsista, unohdin sulle vastata siihen aikaisempaan threadiin. No, nyt käytössä on uudempi versio OpenWRT:stä niin tässä on kaksi asiaa muuttunut oleellisesti; switchconfig on muuttunut DSA:ksi, ja VLAN konffaus hoituu ehkä helpoiten bridge vlan filteringin kautta. Jos laitat nykyisen konfiguraation (joko uci tai sitten /etc/config/network), niin voi olla helpompi sanoa mitä täytyy muuttaa, mutta pääpiirteissään homma toimii näin;
  1. Kaikki LAN-portit yhden bridgen alle. Ei periaatteessa ihan pakollinen juttu, mutta helpottaa huomattavasti. Eli LuCin kautta Network -> Interfaces -> Devices -> Add device configuration.
    • Ensiksi, tämän vaiheen jälkeen, älä tallenna asetuksia ennen vaiheen 2 läpikäyntiä, mutten voit lukita itsesi ulos GUI:sta.
    • General device options -välilehti:
      • Device type: Bridge device
      • Device name: Vapaavalintainen, mutta esim. 'br-lan' on aika yleinen nimeämistapa
      • Bridge ports: Valitse kaikki LAN-portit
    • Bridge VLAN filtering -välilehti:
      • Enable VLAN filtering: valittuna
      • Klikkaa "Add" painiketta kaksi kertaa, saat kaksi VLAN-riviä näkyville. Toinen näistä tulee käyttöön porteille 1-3, ja toinen porttiin 4. VLAN ID:llä ei varsinaisesti ole väliä koska niitä käytetään vain kytkimen sisäisesti, mutta yleisenä ohjeena vältä käyttämästä arvoa 1.
      • Ensimmäinen VLAN; ID esim. 10, Local-täppä valittuna, ja porteille 1-3 valitse "Egress untagged" sekä "Primary VLAN ID". Portti 4 jää tilaan "Do not participate".
      • Toinen VLAN; ID esim 20, Local-täppä valittuna ja portille 4 valitse "Egress untagged" sekä "Primary VLAN ID". Portit 1-3 jää tilaan "Do not participate".
  2. Siirry välilehdelle Network -> Interfaces -> Interfaces
    • Oletettavasti sinulla on nyt olemassa yksi LAN-interface, tästä tulee VLAN10 interface porteille 1-3
      • Vaihde Device: "Software VLAN: 'br-lan.10'"
      • IPv4 address; selkeyden vuoksi voi olla että haluat tämän heijastelevan esim. VLAN ID:tä, 192.168.10.1 ja netmask 255.255.255.0
    • Luo uusi Interface, tästä tulee VLAN20 interface portille 4
      • Nimeä vapaavalintaisesti
      • Protocol: Static address
      • Device: "Software VLAN: 'br-lan.20'"
      • (tallennus jotta saat seuraavat asetukset näkyviin)
      • IPv4 address; esim. 192.168.20.1 ja netmaks 255.255.255.0
      • Firewall settings-välilehti; todennäköiseti haluat tämän omaan zoneensa, voit luoda sen kirjoittamalla custom-kenttään zonen nimen
      • DHCP Server- välilehti; Ota DHCP käyttöön, perusasetukset luultavasti riittää.
  3. Save & Apply. Jos jotain meni rikki, odottele rauhassa 90s niin LuCi vetää muutokset takaisin.
Tarkista vielä erikseen palomuurin konfiguraatio, todennäköisesti riittää että VLAN:t ovat omissa zoneissaan niin että forward on sallittu ainoastaan WAN-zonelle.
 
Portti 4 pitäisi saada Vlan:iksi ja siihen DHCP käyttöön. Sen perään tulee ei hallittava kytkin.
Onko "tyhmään" kytkimeen tarkoitus kytkeä VLAN:ia tukevia laitteita, kuten SOHO AP? Ellei, niin VLAN:ista ei ole hyötyä, ja subnetin sun muut voi tehdä ihan OpenWRT:ssä. Toki jos tai kun reitittimen rauta aiheuttaa rajoituksen, että kaikki LAN-portit ovat samaa siltaa, niin yhtä porttia ei voi käyttää eri subnetissa kuin muita. Yleensä wifi-reitittimissä on 1+4 porttia tai 1+3
 
Palomuurin suhteen kaipaan apuja....

Network asetukset tekstimuodossa Proton Drive
Palomuuri asetukset tekstimuodossa Proton Drive

Ilmeisesti interfacet pitäisi olla eri zonessa (miten laitetaan)?

Versio on: OpenWrt 23.05.3 r23809-234f1a2efa / LuCI openwrt-23.05 branch git-24.073.29889-cd7e519
 
Minä tarviisin kanssa jeesiä. Mulla on tommonen NUC, jossa 4 LAN porttia. Siinä on ollut 4g modeemi kiinni ja yhdestä portista kytkimelle, jonka perässä kaikki verkkolaitteet.

No nyt ostin tuon ZTE MC889A ulkomokkulan ja kytkin sen LAN1 porttiin, eli openwrtssä eth0. Nimesin tuon wan ja laitoin wan zoneen (samaan kun missä oli vanha wwan0 interface).

Mutta ei bitti liiku sitten millään. Voisko joku vähän jeesata miten noiden asetuksien pitäisi olla, että toimisi?

Ulkomokkula on bridge tilassa ja suoraan läppäriin kiinni, niin yhteys toimii.
 

Statistiikka

Viestiketjuista
258 389
Viestejä
4 489 658
Jäsenet
74 150
Uusin jäsen
JM11

Hinta.fi

Back
Ylös Bottom